Ettepanek -
E-hääletuse süsteemi uuendamisega plaanitakse valimissüsteemi olulisi täiendusi, mille läbiarutamise ja otsustamise vastutuse peab võtma seadusandja. Nii arutati e-hääletuse süsteem riigikogus läbi enne sellega alustamist 2005. aastal ning enne hääle individuaalse kontrolli mehhanismi sisseviimist 2013. aastal. On mõeldamatu, et praegu plaanitavad muudatused viiakse läbi ilma vähemalt sama selge ja ühemõttelise poliitilise vastutuseta seadusandja poolt.Riigikogu peab arutama läbi ning võtma vastu otsuse otsast lõpuni kontrollitavuse nõuete osas, mis tagab, et need nõuded a) oleks sõnastatud ja ellu viidud sisuliselt korrektselt ning b) vastaks informeeritud ja aktiivselt valimisprotsessi jälgivate kodanike ootustele:
- Hääle individuaalse kontrolli mehhanism peab tagama igale valijale võimaluse veenduda, et tema hääl anti, võeti vastu, talletati ning läks lugemisele vastavalt valija algsele tahteavaldusele.
- Hääle universaalse kontrolli mehhanism peab tagama kõigile valijatele ning valimiste vaatlejatele võimaluse isiklikult veenduda, et valijate hääled loeti kokku korrektselt.
- Individuaalse ja universaalse kontrolli mehhanismid peavad koos tagama e-hääletuse süsteemi vastavuse otsast lõpuni kontrollitavuse nõuetele, nagu need on määratletud e-hääletuse lähteuuringutes ja nende põhjal koostatud tehnilistes kirjeldustes, rahvusvaheliste organisatsioonide soovitustes ning teaduskirjanduses.
Nõuame huvigruppe kaasavat ja rahvusvahelisele üldsusele avatud arutelu Eesti e-hääletuse plaanitavate uuenduste üle, mis tipneks e-hääletamisele seatavate nõuete ühemõttelise seadusandliku määratlemise ning sellega kaasenva poliitilise vastutuse võtmisega parlamendi poolt!
Põhjendus -
E-hääletuse uue süsteemi arendamisega [1] plaanitakse viia tarkvara 2017. aasta KOV valimisteks vastavusse otsast lõpuni kontrollitavuse (end-to-end verifiability) nõuetega [2], mis seati e-hääletuse jaoks kriteeriumiks juba 2001. aasta lähteuuringutes ning mille eesmärgiks on tagada vabade valimiste põhimõtete järgimine e-valimistel [3].Kontrollitavuse kriteeriumide rakendamist alustati 2013. aasta e-hääletuse täiendustega, millega sooviti realiseerida hääle individuaalne kontroll [4]. Uue süsteemi raames peaks viidama e-hääletus vastavusse ka hääle universaalse kontrolli põhimõttega nii, et kahe kontrollitavuse komponendi omavahelises kombinatsioonis vastaks süsteem otsast lõpuni kontrollitavuse nõuetele.
Otsast lõpuni kontrollitavuse rakendamine on olnud OSCE/ODIHR valimisvaatlejate soovitustest olulisim e-hääletuse arhitektuuri ning õiguslikke aluseid puudutav soovitus [5], mille nad esitasid 2011. aastal. Kontrollitavuse tagamine on oodanud oma aega juba e-hääletuse lähteuuringutest saadik 2001. aastal [6], see kajastus e-hääletuse tehnilises dokumentatsioonis kuni 2003. aastani [7] ning selle puudumist on seejärel aastate jooksul rõhutanud eri sõltumatud väliseksperdid [8]. Valimisvaatlejad ise andsid 2015. aasta riigikogu valimiste järel tagasiside, et kontrollitavusega on muudatuste raames tegeldud ainult "osaliselt" [9], kuigi põhiseaduskomisjoni poolt kinnitati 2012. aastal riigikogus, et soovitustest "arvestati peaaegu kõike, mis puudutas elektroonilist hääletust" [10]. Parlament pole seega teinud otsust otsast lõpuni kontrollitavuse rakendamiseks, andud ette suuniseid, missugustest põhimõtetest lähtuvalt seda teha ega ole võtnud seega ka vastutust protsessi eest.
Võib vaielda, kas algelise ja lihtsa e-hääletuse süsteemi eelistamine otsast lõpuni kontrollitavuse nõuetele vastava süsteemi kasuks pärast 2003. aastat oli õigustatud või kes selle eest tagantjärele vastutab, kuid hetkel on oluline, et kui nüüd lõpuks on valmisolek viia e-hääletus vastavusse välisekspertide ja -organisatsioonide soovituste ning vabade valimiste põhimõtetega, siis tehtaks seda õigesti ning me ei seoks end taas järgmiseks kümneks aastaks ebarahuldava lahendusega.
[1] http://www.vvk.ee/uudised/cybernetica-as-uuendab-elektroonilise-haaletamise-susteemi, https://riigihanked.riik.ee/register/hange/171780, http://vvk.ee/public/EHS/IVXV-UK-0.99-est.pdf
[2] https://research.cyber.ee/~jan/publ/ivxv-evoteid.pdf
[3] https://et.wikipedia.org/wiki/Otsast_lõpuni_kontrollitavus
[4] https://www.riigikogu.ee/tegevus/eelnoud/eelnou/abc6bd69-0c8f-4012-8616-9277a7cbfec8/Riigikogu%20valimise%20seaduse%20ja%20teiste%20seaduste%20muutmise%20seadus
[5] http://www.osce.org/odihr/77557
[6] http://vvk.ee/public/dok/lipmaamyrk.pdf
[7] http://vvk.ee/public/dok/Kontsept-03.pdf
[8] http://boamaod.github.io/blog/2015/03/30/rohkem-kryptot-v2hem-usaldust/
[9] http://www.osce.org/odihr/elections/estonia/160131
[10] http://stenogrammid.riigikogu.ee/et/201205081000#PKP-10289
Probleemid arusaamaga kontrollitavusest
- Uue e-hääletuse süsteemi spetsifikatsioon [1] lähtub kitsast otsast lõpuni kontrollitavuse määratlusest [2] ning kitsendab seda omakorda veelgi. Selle tulemusel ei pruugi loodav lahendus vastata otsast lõpuni kontrollitavuse nõuetele [3] ning Eesti e-hääletus võib jääda jätkuvalt rahvusvahelise tunnustuseta. Kuigi kontrollitavuse kitsale määratlusele vastavad süsteemid võivad sobida kasutamiseks ettevõtetes vmt organisatsioonides, ei pruugi need vastata vabade valimiste nõuetele demokraatlikes riikides.
- Uue süsteemi spetsifikatsiooni järgi saab valija hääle individuaalse kontrolli mehhanismi abil endiselt veenduda ainult tahteavalduse soovikohases talletamises, aga mitte selle lugemisele minemises vastavalt algsele tahteavaldusele. See ei vasta käibivale arusaamale individuaalsest kontrollitavusest ning võib tekitada olukorra, kus universaalse kontrollitavuse rakendamisel ei ole hääle individuaalse kontrolli mehhanismi puuduste tõttu täidetud e-valimiste otsast lõpuni kontrollitavuse nõuded.
- Hääle individuaalse kontrolli mehhanism avaldab valija tahteavalduse sisu. Kuigi 2012. aastal riigikogu otsusega kasutusele võetud lahendus [4] on tehniliselt leidurlik, võib see teha takistuse süsteemi vastavusse viimisele otsast lõpuni kontrollitavuse nõuetega, sest ei võimalda hääle individuaalse kontrolli laiendamist häälte kokkulugemise momendini.
- Häälte kokkulugemise universaalne kontroll on plaanitava süsteemi spetsifikatsiooni järgi avatud ainult andmeaudiitorile, mis on vastuolus käibivate otsast lõpuni kontrollitavuse määratlustega teaduskirjanduses [5] ning ambivalentses seoses e-hääletuse riigihanke ning e-hääletuse süsteemi uue raamistiku üldkirjeldusega [6]. Ka on vastuoluline informatsioon sellest, kas universaalse kontrollitavuse mehhanism valmib 2017. aasta KOV valimisteks ning kas selle selle kasutamine on uues süsteemis nõutud või ainult valikuline [7].
[1] https://research.cyber.ee/~jan/publ/ivxv-evoteid.pdf
[2] https://www.usenix.org/legacy/event/evtwote10/tech/full_papers/Popoveniuc.pdf
[3] https://et.wikipedia.org/wiki/Otsast_lõpuni_kontrollitavus
[4] http://www.vvk.ee/public/otsused/2013/Mis_on_haale_kontrollimine.pdf
[5] https://arxiv.org/abs/1504.03778, https://eprint.iacr.org/2016/287.pdf
[6] http://vvk.ee/public/EHS/IVXV-UK-0.99-est.pdf
[7] http://epl.delfi.ee/news/eesti/halva-onne-korral-voivad-e-valimised-toimuda-12-aasta-vanuse-tarkvaraga?id=77579756, http://www.pealinn.ee/tagid/koik/it-eksperdid-ulistatud-e-haaletusest-valijate-haali-saab-voltsida-n191310, http://p6drad-teel.net/~p6der/20170418-heiberg-ut-en.pdf
Probleemid protsessiga, sh läbipaistvuse ja vastutusega
- Riigikogu ega selle põhiseaduskomisjon pole arutanud otsast lõpuni kontrollitavuse küsimusi ega võtnud vastu otsust plaanitava lahenduse kasuks. E-hääletuse süsteemi eest otsustamise on ilma poliitilist vastutust kandmata võtnud enda peale elektroonilise hääletuse komisjon, mille mantlipärijaks peaks 2017. aastast olema riigi valimisteenistus, kuid mille seotusest e-hääletuse süsteemi kavandamisega puudub avalikult kättesaadav teave.
- Vastupidiselt kodanikuühiskonna nõudmistele protsessi mh rahvusavahelise üldsusele avamiseks ja OSCE/ODIHR valimisvaatlejate 2011. aasta ettepanekule "moodustada avatud töörühm, et kaaluda võimalust võtta kasutusele kontrollitav internetihääletus" [1] on süsteemi uuendusi ametlikult, aga ilma protsessi dokumenteerimata arutatud elektroonilise hääletamise komisjoni suletud ringis, riigikogu ega selle komisjone ei ole kaasatud, uuenduste üle puudub avalik ja parlamentaarne debatt.
- Kuigi võib nentida, et riigikogu ega selle komisjonid pole suutnud teha endale piisaval tasemel selgeks e-hääletuse tehnilisi ega õiguslikke küsimusi, siiski on arutelud seadusandja tasemel tähendanud parlamentaarse vastutuse võtmist olulise muudatuse eest valimisõigusse. Kuna otsast lõpuni kontrollitavuse küsimused on olnud probleemide allikaks juba 2001. aasta lähteuuringutest ja 2003. aasta tehnilistest dokumentidest saadik [2] ning on siiani vastuolude allikaks, siis ei saa pidada e-hääletuse süsteemi uuendusi triviaalseks küsimuseks, mida delegeerida poliitilist vastutust võtmata e-hääletuse komisjonile või valimisteenistusele.
- Elektroonilise hääletamise komisjonis toimunud arutelud pole olnud läbipaisvad, avalikkusele pole teada arutelude sisu, osalejad ega nende avaldatud seisukohad, ka puudub avalikkusel informatsioon sellest, mis on tehtud valikute põhjused, mh on valimiskomisjoni veebist kadunud elektroonilise hääletamise komisjoni lehekülg [3], kus olid toodud komisjoni protokollid aprillini 2015, mis siiski ei kajastanud arutelusid e-hääletuse süsteemi uuenduste üle.
- Põhiseaduskomisjoni juurde 2011. aastal loodud e-hääletamise töörühma protokollid, töörühmale ja põhiseaduskomisjonile esitatud eksperdihinnangud [4] jm materjalid ning töörühma aruanne [5] pole avalikud. See on seni ainuke ametlik töörühm, mis on teadaolevalt arutanud e-hääle kontrollimise mehhanisme ja töörühma tegevusest saab aimu ainult pressimaterjalidest ning riigikogu stenogrammidest. Avalikes materjalides ei kajastu, et oleks arutatud otsast lõpuni kontrollitavuse küsimusi või kaalutud eri lahendusi hääle individuaalse kontrolli mehhanismide või häälte kokkulugemise universaalse kontrolli jaoks.
[1] http://www.osce.org/odihr/77557
[2] http://vvk.ee/public/dok/lipmaamyrk.pdf, http://vvk.ee/public/dok/Kontsept-03.pdf, https://helger.wordpress.com/2011/03/05/paper-voted-and-why-i-did-so/
[3] http://web.archive.org/web/20161110013526/http://www.vvk.ee/valimiste-korraldamine/elektroonilise-haaletamise-komisjon/
[4] https://www.riigikogu.ee/download/cfe3b465-57ea-4853-b40b-1c5250f738b2, http://stenogrammid.riigikogu.ee/et/201304251000#PKP-12881, https://www.riigikogu.ee/download/c79e1805-8354-4dd0-a8db-ddfa792c8e60
[5] http://www.vvk.ee/uudised/valmis-elektroonilise-haaletamise-tooruhma-aruanne/
Probleemid vastavusega vabade valimiste põhimõtetele
Kuigi otsast lõpuni kontrollitavus on abistav kontseptsioon, millega kirjeldatakse vabade valimiste põhimõtete ülekandmist digitaalsesse keskkonda [1] ning see on aluseks võetud ka e-hääletuse süsteemi uuendamisel [2], siiski ei lahenda see kõiki e-hääletuse õiguslikke ja tehnilisi küsimusi. See ei ole küll otseselt käesoleva petitsiooni fookus, aga väärib siiski tähelepanu, et senini puudub terviklik analüüs e-hääletuse vastavuse üle vabade valimiste põhimõtetele seadusandlikku järelevalvet teostava institutsiooni poolt.- Riigikohus on küll arutanud hääle salajasuse põhimõtet aga ainult valimissunni aspektist ega ole sj arutanud valija tahteavalduse salajasuse passiivse rikkumise aspekti. Riigikohus on küll arutanud e-hääletuse ühetaolisuse põhimõtet, aga ainult valimiste perioodi aspektist ega ole sj arutanud valija õigust ühetaolistele garantiidele häälte kokkulugemisel ja valimiste vaatlemisel. [3]
- Õiguskantsler on küll 2011. aastal kinnitanud riigikohtu seniste otsuste korrektsust, aga jättis põhiseaduspärasuse tervikuna analüüsimata, kuigi avaldas lootust, et e-hääletuse küsimused lahendatakse tulevikus põhiseaduspäraselt: "Tehnilise lahenduse probleemid, mis vajavad lahendamist, ei tähenda veel automaatselt, et e-hääletamise idee ei ole üldse põhiseaduspäraselt teostatav." [4]
- E-hääletuse turvaanalüüsides märgitakse paljud potentsiaalsed riived vabade valimiste põhimõtetele "aktsepteerimist vajavateks riskideks", kuid need tähelepanekud on jäänud tehnilistesse dokumentidesse [5] ega ole viinud avalike aruteludeni sellest, mida võiks nende riivete kompenseerimiseks teha õiguslike jm vahenditega.
[1] https://et.wikipedia.org/wiki/Otsast_lõpuni_kontrollitavus
[2] https://research.cyber.ee/~jan/publ/ivxv-evoteid.pdf
[3] http://www.nc.ee/?id=11&tekst=RK/3-4-1-13-05
[4] http://stenogrammid.riigikogu.ee/201106131500#PKP-8652
[5] http://www.vvk.ee/public/dok/EH-02-02_2011-01-13.pdf
Lõppsõna usaldusest
Usaldust e-hääletuse vastu saab luua kampaania korras, aga sellel on piirid. Valimised on demokraatliku ühiskonnakorralduse alusprotsess, mille korrektsusele, arusaadavusele ja läbipaistvusele on nii avalikkusel kui valimistel konkureerivatel osapooltel õigustatud ootus. Kui aga seda ootust sisuliselt ei täideta, siis hakkab kampaania usaldust õõnestama. [1]Valimistel võimu nimel konkureerivad jõud saavad tunnistada edu saavutanute legitiimsust vaid juhul, kui nad on veendunud, et kõigil olid selles protsessis võrdsed võimalused. Seesama on eelduseks ka valijate ja valimiste vaatlejate usaldusele demokraatliku protsessi vastu. Valimissüsteemi alused peavad olema kõigile üheselt mõistetavad, valimiste korraldus läbipaistev ning rikkumiste ja manipulatsiooni esinemine ühemõtteliselt tuvastatav. Nii on ka praegune valitsus koalitsioonileppes lubanud asuda seda usaldust tagama: "Tagame e-hääletamise turvalisuse ja läbipaistvuse." [2]
Kui väita, et e-hääletus on nii keeruline teema, et selle arutamise peab jätma paari erialaspetsialisti ülesandeks ning teistel ei jää üle muud, kui neid lihsalt uskuda, siis see pole viis, kuidas tagada usaldust demokraatia alusprotsesside vastu ning kehtestada ühiskondlikke baaskokkuleppeid. Seetõttu on demokraatia proovikiviks, kas vähemalt riigi kõrgeim valitud esinduskogu suudab omavahel selgeks rääkida e-hääletuse põhimõttelised küsimused ning teha informeeritud ning ühiselt läbitunnetatud otsuse, et valitud põhimõtted ning nende baasil loodud süsteem on õiglane ja tagab kõigile valimistel osalejatele konkureerimiseks võrdsed võimalused.
Püüe meelitada kodanikke kampaania korras usaldama hääletusmehhanismi, mille põhimõtteid ei suuda endale selgeks teha ning läbi arutada isegi mitte riigikogu, on täiesti vastuvõetamatu!
[1] http://www.ohtuleht.ee/665537/mart-poder-kohustus-usaldada-e-haaletust
[2] https://valitsus.ee/sites/default/files/content-editors/arengukavad/eesti_keskerakonna_sotsiaaldemokraatliku_erakonna_ning_isamaa_ja_res_publica_liidu_valitsusliidu_aluspohimotted_2016-2019.pdf
individuaalne kontroll
Ma arvan, et hääle individuaalne kontroll peaks puudutama mitte ainult e-häält vaid see peaks puudutama ka tavalist häält. Teisisõnu - hääle andjal peaks olema võimalus usutaval moel mingi konkreetse ajavahemiku jooksul (3 päeva?) peale valimisi pöörduda valimiskomisjoni (serveri, tarkvara) poole, et kontrollida, kas tema hääl on loetud (kehtiv), arvestatud ja kas see vastas tema tahtele. Lisaks on omaette küsimus veel see, kuidas üldse usaldada e-valimisi, kui (utreerituna) 100-aastased ja vanemad on 100%-lt e-hääletajad. All näide allikast (https://www.evalimised.ee/vanad-ja-nobedad-e-valivad-100-protsenti/) Tsitaat: "... naistel vanuses 94+ on 4-6 sünniaastat järjest, kus valimistel osalemine oli 100 %, seda just e-valimistega. Viimati olid e-valijad kõik naised vanuses: 98, 99, 102 ja 104 aastat (sünniaastad 1911 kuni 1917). Euroopa Parlamenti valisid 2014. aastal 100 % hääleõiguslikest naistest e-valimistega vanuses: 94, 97, 98, 99, 101 ja 103. 2013. KOV valimistel olid 100 % valimisõiguslikest naistest e-valijad vanuses 97, 98, 100, 101. See pole usutav, et 1911. sündinud naine on paadunud e-valija. Lisaks veel nobenäpp, kes valib vähemalt 2 minutit nobedamini kui 18-32 aastased keskmiselt (need valisid 3 minutiga)..." Eeltoodud näide viitab kaudselt võltsimisele, kusjuures kehtivate normide alusel pole "võltsimise väidet" võimalik kontrollida. Toodud näide viitab sellele, et e-hääletus ei saa kunagi olla usaldusväärne ja kallutab loogiliselt nende leeri, kes põhiseadusega nõutud "valimiste ühetaolisuse" printsiibi toel on seadnud kahtluse alla e-hääletuse seaduslikkuse tervikuna.
häälte kontroll on vaba hääletamise põhimõttete vastane
seda kontrolli saab kasutada ka pahatahtlikult, survestada kadidaati valimist ja hiljem kontrollida kas ikka hääletati nii nagu peab, e-hääletamise peab keelama kuna ta ei suuda garanteerida saladuse, ka tänapäeval võib tulla koos inimesega arvuti taga ja teha "õige" valik, eriti lihtne seda teha vana inimestega või nendega kes ei oska arvutiga töötada
E- hääletanud isikute nimekirja avalikustamine
Arvan, et see oleks hea ja aitaks vähendad kodanike umbusku. Palun öelge milline eesti seadus keelab avalikustada e- hääletanud isikute nimekirja?
Sa ei kirjuta ka pabersedelile enda kui hääletaja nime peale, miks sa seda nüüd siis e-hääletusel soovid? Kas sa mõistad ikka, et tegemist on salajase hääletusega... sest muidu saaks suvaline partei sulle kõrri pärast hüpata ja küsida, et miks sa nende poolt ei hääletanud?
Valijate vanus.
Tegelikult peaks tagasi muutma vanuse sest 16 aastane ei tea midagi hääletama pääseks 21 aastane kes juba midagi jagab
läbipaistvus
Olen nõus. Keegi kunagi ei tea, mis skript/kalkulaator ja mis andmebaas on selle summade taga. Näiteks. Mina olen hääletanud - valisin "Kandidaat №146". Sooritan kontrollpäringu - süsteem vastab "Kandidaat №146". Aga see ei tähenda, et mu häält lõpuks loetakse "Kandidaat №146" eest. Kasutajal/elanikul/kodanikul pole võimalust kontrollida, et need summad, mida publitseerib valimiskomisjoon, on reaalsed. Me ei näe selle andmebaasi. See tähendab et lõppsummad võivad olla võetud teistest taabelitest. Kuna keegi ei anna publitseerida reaalse nimed ja perekonnanimed, siis igale hääletajale peab andma unikaalne id (GUID formaadis xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx - 382c74c3-721d-4f34-80e5-57657b6cbc27) Sellega on litne avalikustada veebis häälte kogu andmebaasi kujul: 382c74c3-721d-4f34-80e5-57657b6cbc27 - "Kandidaat №146" 2452dbce-acc4-4e87-88b2-2297cd390c66 - "Kandidaat №14" 3a7589f4-6afc-4e50-825f-c0da9a49b129 - "Kandidaat №16" ac6055a6-f7a5-4502-bb41-f8df3e70fd22 - "Kandidaat №1" bbd74a9d-dd3a-4593-90b1-a9965477cee7 - "Kandidaat №1" ... Nüüd iga kodanik saab kontrollida: 1 - tema kandidaat tõesti sai 20% häält (nii nagu VK publitseeris), 2 - tema sõbrad ja pereliikmed samuti leidsid, et tema hääl on õieti loetud, 3 - tema hääl on "Kandidaat №146" eest, nii nagu tema hääletas. Ehk kõige lihtsaim ja soodsaim - avalikustada häälte taabeli hääletamise algusest häältelugemise lõppuni (ja võib isegi mitte eemaldada, las rippub veebis). Ja see on enam-vähem läbipaistav.